【賽迪網-IT技術報道】在都靈冬奧會期間,一位具有內部辦公網管理權限的工作人員企圖登錄比賽網系統,這一舉動被安全報警系統發現,並通報場館保安人員將其抓獲。經調查,該名工作人員聲稱,和他一起蓄意攻擊這一系統的同伴竟達百人規模。時隔四年之後,這份擔憂已經降臨在即將開幕的北京奧運會。面對愈演愈烈的信息安全威脅,北京需要比都靈考慮的更周全才能從容應對。
毋庸置疑,服務北京奧運的信息安全體系,具有更高水平的智能性以及主動防禦性,但這只是安全係數的增加,並不保證萬無一失,面對更具隱蔽性、迷惑性而且變化多端的網絡攻擊,我們更想知道的是 「目前的控制措施是否到位?」,「我們還可能面臨什麼的安全問題?」,「現有平台和管理機制還存在什麼樣的安全隱患和漏洞?」一言以蔽之,奧運信息安全與否,到底誰說了算?
網御神州信息安全高級顧問盧青認為,應當從信息安全風險評估中尋找答案。一方面通過「實施評估」可以科學的認識現有系統的管理中面臨的隱患和風險,而「脆弱性」識別將有助於發現與最佳實踐之間的差距。另一方面,必要的風險分析會為後期採取怎樣的安全措施提供理論依據,具體到操作層面上,比如經常用到的「威脅分析」,就能夠幫助管理員確認在什麼時間、什麼地點和什麼樣的條件下可能會受到什麼樣的攻擊,從而做到有備無患,因此從某種意義上看,評估比建設更重要。同時由於信息安全是個動態發展的過程,因此評估工作也就如同體檢一樣,應當確立成為一項長效機制。
一般來講,信息安全體系常規的評估手段有以下幾種:工具掃瞄、人工評估、問卷與訪談以及滲透測試的方式,而目前國際上最流行的方式是將「白盒測試」和「黑盒測試」相融合,模擬和分析各種威脅,深入發現安全漏洞和隱患,最終根據「風險分析」的方法最終確認安全與否。但在實際評估中,由於時間、環境和技術等限制會用到其中的一到兩種,而這將取決於開展評估的主要目的和時間要求等。
在奧運會期間,各方最關注的是涉奧的IT業務系統能否安全穩定的運行,能否為奧運期間全世界來華運動員、裁判員、教練員等提供優質服務,為此在這些系統上線前要經過充分的測試和評估,盡可能全面的分析在奧運會期間可能面臨的各類風險,以及系統中由於技術、管理等限制所造成的各類安全隱患,所以一方面會深入的進行各項白盒測試,另一方面也應當模擬黑盒測試,從而確保系統的相對穩定和安全,也為準備日常安全維護和應急預案奠定基礎。
在奧運會期間,全世界的來華人員有著各種不同的生活習慣,包括對於IT資源的使用,所以在信息安全評估的過程中「分析威脅」是實施評估的難點,也就是很難把問題考慮周全,雖然有一些往界奧運會的經驗可以借鑒,但針對中國以及中國企業和組織的實際情況,還是很難分析清楚和全面分析威脅,這方面的經驗還需要不斷的積累。
信息安全沒有絕對的安全,安全的標準就是「考慮周全、從容應對」,無論是什麼樣的控制和部署也許都會存在被威脅利用的可能性,所以針對涉奧系統的安全建設,就是要從風險的角度,正確認識系統所對應的機密性、完整性和可用性,並通過安全防護、信任、監控和審計的綜合部署,從管理和技術的各個角度進行全面控制可以加強信息安全保障水平,當然這也包括出現安全問題後的應急流程和措施,也就是我們所提到的應急預案。
信息安全工作是一個長效、持久的工作,只要業務發展,系統運行,網絡提供服務,安全工作就一天都不能夠懈怠,奧運來臨之際,希望各有關部門能正確面對自身系統,儲備一些有效的資源,加強對於業務系統和平台的安全防護和監控審計,制定必要的流程和制度規範,在技術力量和管理機制方面能夠做到有的放矢,相信一定能夠安全穩定地為奧運提供高效服務。
(